ابزار Sysmon در واقع همان System Monitor (Sysmon) یک سرویس سیستم ویندوز است که پس از نصب بر روی یک سیستم، برای نظارت و ثبت فعالیت سیستم در Windows event log قرار میگیرد و اطلاعات دقیقی در مورد ایجاد فرآیند، اتصالات شبکه و تغییرات زمان ایجاد فایل ارائه می دهد.ابزار Sysmon با جمعآوری رویدادهایی که با استفاده از Windows Event Collection یا عوامل SIEM تولید میکند و متعاقباً تجزیه و تحلیل آنها، میتوانید فعالیتهای مخرب یا غیرعادی را شناسایی کنید و متوجه شوید که مزاحمان و بدافزارها چگونه در شبکه شما کار میکنند.
قابلیت های ابزار Sysmon
- Hash فایل های تصویری پردازش را با استفاده از SHA1 (پیش فرض) ، MD5، SHA256 یا IMPHASH ضبط می کند.
- می توان همزمان از چندین Hash استفاده کرد.
- شامل یک process GUID در رویدادهای ایجاد فرآیند است تا امکان correlation رویدادها را فراهم کند حتی زمانی که ویندوز از شناسههای فرآیند دوباره استفاده میکند.
- شامل یک session GUID در هر رویداد برای امکان correlation رویدادها در همان جلسه ورود.
- بارگیری درایورها یا DLL ها را با امضا و هش آنها ثبت می کند.
- گزارشها برای دسترسی خواندنdiskها و volumeها باز میشوند.
- به صورت اختیاری اتصالات شبکه، از جمله فرآیند Source هر اتصال، آدرسهای IP، شماره پورت، نام host و نام پورت را ثبت میکند.
- تغییرات در زمان ایجاد فایل را تشخیص می دهد تا بفهمد واقعاً چه زمانی یک فایل ایجاد شده است.
- در صورت تغییر در registry ، config را دوباره بارگیری کنید.
دستورات و نحوه نصب ابزار Sysmon
پس از دانلود Sysmon پنجره cmd را باز کرده و دستورات مورد نیاز زیر را وارد میکنیم:
نصب با تنظیمات پیش فرض (پردازش تصاویر هش شده با SHA1 و بدون نظارت بر شبکه)
sysmon -accepteula -i
نصب با فایل config (config مربوطه باید از قبل دانلود و در مسیر c:\windows قرار بگیرد)
sysmon -accepteula -i c:\windows\config.xml
uninstall
sysmon -u
حذف فایل config
sysmon -c
نمایش طرح config
sysmon -s
رویدادهای ایجاد شده توسط ابزار Sysmon
Event ID 1: Process creation
رویداد ایجاد فرآیند، اطلاعات گسترده ای را در مورد یک فرآیند ایجاد شده جدید ارائه می دهد.
Event ID 2: A process changed a file creation time
رویداد تغییر زمان ایجاد فایل، زمانی ثبت می شود که زمان ایجاد فایل به صراحت توسط یک فرآیند اصلاح شود. این رویداد به ردیابی زمان واقعی ایجاد یک فایل کمک می کند.
Event ID 3: Network connection
رویداد اتصال شبکه، اتصالات TCP/UDP را روی دستگاه ثبت میکند.
Event ID 4: Sysmon service state changed
رویداد تغییر وضعیت سرویس، وضعیت سرویس Sysmon (شروع یا متوقف شده) را گزارش می کند.
Event ID 5: Process terminated
هنگامی که یک فرآیند خاتمه می یابد، رویداد خاتمه فرآیند گزارش می دهد.
Event ID 6: Driver loaded
رویدادهای بارگذاری شدن درایور، اطلاعاتی را در مورد درایور در حال بارگذاری بر روی سیستم ارائه می دهد.
Event ID 7: Image loaded
هنگامی که یک ماژول در یک فرآیند خاص بارگذاری می شود، رویداد بارگذاری شدن تصویر ثبت می شود.
Event ID 8: CreateRemoteThread
رویداد CreateRemoteThread زمانی را تشخیص می دهد که یک فرآیند یک رشته در یک فرآیند دیگر ایجاد می کند.
Event ID 9: RawAccessRead
رویداد RawAccessRead زمانی را تشخیص میدهد که فرآیندی عملیات خواندن را از درایو با استفاده از علامت \.\\ انجام میدهد.
Event ID 10: ProcessAccess
هنگامی که فرآیندی فرآیند دیگری را باز میکند، به گزارشهای رویداد دسترسی پیدا میکند، عملیاتی که اغلب با درخواستهای اطلاعاتی یا خواندن و نوشتن فضای آدرس فرآیند هدف دنبال میشود.
Event ID 11: FileCreate
عملیات ایجاد فایل هنگام ایجاد یا بازنویسی یک فایل ثبت می شود.
Event ID 12: RegistryEvent (Object create and delete)
کلید و مقدار Registry نقشه عملیات را به این نوع رویداد ایجاد و حذف می کند، که می تواند برای نظارت بر تغییرات مکان های شروع خودکار Registry یا اصلاحات Registry بدافزار خاص مفید باشد.
Event ID 13: RegistryEvent (Value Set)
این نوع رویداد Registry تغییرات مقدار Registry را شناسایی می کند.
Event ID 14: RegistryEvent (Key and Value Rename)
عملیات تغییر نام کلید Registry و مقدار به این نوع رویداد نشان داده می شود و نام جدید کلید یا مقدار تغییر نام داده شده را ثبت می کند.
Event ID 15: FileCreateStreamHash
این رویداد زمانی که یک فایل با نام ایجاد میشود، ثبت میشود و رویدادهایی را ایجاد میکند که هش محتوای فایلی را که جریان به آن اختصاص داده شده است و همچنین محتویات جریان نامگذاری شده را ثبت میکند.
Sysmon دارای تقریبا 30 event id است که ما نیمی از آن را به شما معرفی کردیم
Sysmon بخشی از بسته نرمافزاری Sysinternals است که اکنون متعلق به مایکروسافت است و گزارشهای استاندارد ویندوز را با تولید برخی نظارتهای سطح بالاتر از رویدادها مانند ایجاد فرآیند، اتصالات شبکه و تغییرات در سیستم فایل را نمایش میدهد.